Wat zijn persoonsgegevens?

Dit zijn alle data die gelinkt zijn aan een levend individu (‘natuurlijk persoon’), zoals een emailadres met vermelding van de naam, maar ook een nummerplaat, want in België is die gelinkt aan een persoon en niet aan een wagen, zoals bijvoorbeeld in Nederland. Wanneer de data kunnen leiden tot identificatie van een individu, heb je te maken met persoonsgegevens en dus GDPR. Maar niet alleen dat, ook wanneer het bijvoorbeeld gaat over de levensbeschouwelijke of politieke overtuiging, de biometrische, medische, financiële, gegevens, enz. geldt de GDPR-regelgeving.

Waarom verzamel je persoonsgebonden gegevens?

Dit gaat dus over de verwerkingsgrond van de persoonsgegevens. Dat kan worden geformuleerd in een contract, of het kan ook een specifieke toestemming zijn, of van legitiem belang zijn. Zo heeft de werkgever het recht om een aantal persoonsgegevens op te vragen.

Wie deelneemt aan een Erasmus+ project, moet een aantal persoonsgegevens verstrekken. Wie dat niet wil doen, kan ook niet deelnemen: de deelnemer zal een contract krijgen en door ondertekening ook toestemming geven om een aantal persoonsdata te verstrekken en te laten opnemen in de Europese databank.

De identificatie van de deelnemer laat toe om de geldigheid van de mobiliteit te onderzoeken en dus fraude te voorkomen.

Ben je verwerker of verantwoordelijke?

De verantwoordelijke bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. Als jouw organisatie dus beslist waarom en hoe persoonsgegevens moeten worden verwerkt, is zij de verantwoordelijke. Zo leg je bijvoorbeeld je eigen Excel-databank aan van deelnemers in je project voor het invullen van Mobility Tool+ of de Beneficiary Module. Dat betekent concreet dat je organisatie de verantwoordelijke is voor het beheer en beveiliging van die data. Voor je eigen projectdatabank ben je dus zowel verantwoordelijke als verwerker.

Wanneer je de gegevens van deelnemers invoert in Mobility Tool+ daarentegen, gebruik je een tool die door de Europese Commissie is ontwikkeld omdat zij een overzicht willen van de deelnemers. In dat geval ben jij de gegevensverwerker en de Europese Commissie is verantwoordelijke. De taken van de verwerker jegens de verantwoordelijke worden in een overeenkomst gespecificeerd, namelijk in het projectcontract tussen Epos en de projectbegunstigde.

Welke gegevens verzamel je?

Kijk altijd eerst in de Europese datatools die gelinkt zijn aan je project en ga na welke persoonsgegevens je moet invullen.

Onderzoek ook welke persoonsdata al worden bijgehouden in je organisatie met toestemming van de eigenaar, en of je van die databank gebruik kan maken voor je project. Anders gezegd, heeft de eigenaar enkel toestemming gegeven voor het bewaren en gebruik in die ene databank, of mogen die data meteen ook voor andere doeleinden binnen de school worden overgenomen?

En terwijl je dan toch gegevens verzamelt, stel jezelf de vraag welke data je daadwerkelijk nodig hebt, en welke niet. Persoonsgegevens die niet van belang zijn voor je project, vraag je ook niet op: je beperkt je tot die elementen die noodzakelijk zijn voor de deelname. ‘Wenselijke’ data, omdat het ‘interessant’ is om dat te weten, worden niet opgevraagd, noch bewaard in het kader van het project.

Zo moet de projectcoördinator niets invullen in de Europese databank over de thuissituatie van een minderjarige deelnemer. Bijgevolg vraag je dit ook niet op. Deze informatie kan wel relevant zijn in een schoolcontext maar niet voor je project.
Of nog, naar aanleiding van mailverkeer met de gescheiden ouders van een minderjarige deelnemer, heb je het emailadres in je mailbox zitten van de nieuwe partners van de ouders. Die mailadressen geef je niet zomaar door aan de schooladministratie, of stop je ook niet in je eigen databank met ‘interessante mailadressen’ en al evenmin in je databank voor je project.
En een laatste voorbeeld: wanneer je de reis- en verblijfsvergoeding voor je leerlingen niet uitbetaalt maar in natura ter beschikking stelt, moet je ook de financiële gegevens van de leerling noch van de ouders of voogd opvragen.

Samengevat houd je dus enkel die persoonsgegevens bij die noodzakelijk zijn voor de uitvoering en financiering van je project. Wat misschien later nodig zou kunnen zijn, vraag je enkel wanneer het daadwerkelijk nodig is, en je beperkt je tot die personen waarvan je het nodig hebt.

Heb je de toestemming van de eigenaar om de gegevens te bewaren?

Toestemming hebben om de data bij te houden is een eerste belangrijke stap, maar wie geeft die toestemming? En waarvoor geldt die toestemming, m.a.w. heb je de toestemming gekregen waarvoor jij de gegevens wil gebruiken?
Wanneer iemand toestemming geeft om zich in te schrijven op de digitale projectberichten die worden verspreid, is dat geen toestemming om dat emailadres meteen op te nemen in de algemene nieuwsbrief van de organisatie. Je kan dus dat emailadres enkel gebruiken in de context waarvoor ze werden gegeven: jij kan niet zelf beslissen wat er nog allemaal interessant zou kunnen zijn voor die persoon en dus eigenhandig de gegevens toevoegen aan andere databanken. Dat is het recht van de eigenaar van dat adres: het is de eigenaar die beslist wat er met zijn data gebeurt en waarvoor het wordt gebruikt.

Terug naar het Erasmus+-project.
Volwassen eigenaars van de persoonsgegevens, zoals de 32-jarige leerkracht die deelneemt aan een Erasmus+ cursus, of de 20-jarige student die stage loopt in het buitenland met een Erasmusbeurs, bepalen zelf of ze hun gegevens willen vrijgeven door een Erasmus+ contract te ondertekenen met hun organisatie.
Maar wat met minderjarige leerlingen die op uitwisseling gaan in het kader van een KA1-project van hun school? Strikt genomen kan elke leerling vanaf 13 jaar toestemming geven of weigeren om zijn gegevens bij te houden, terwijl diezelfde leerling pas meerderjarig wordt op 18. Daarom vraag je best ook de toestemming van de ouders of voogd wanneer het over minderjarigen gaat. Vermeld meteen ook in het schoolreglement of een minderjarige leerling die 13 jaar of ouder is, in kan gaan tegen de beslissing van de ouders of de voogd, en hoe dit wordt behandeld. Stel dat een 15-jarige leerling wil deelnemen en er geen bezwaar tegen heeft dat zijn persoonsgegevens worden opgeslagen, maar de ouders weigeren, hoe wordt dit dan opgelost?

De eigenaar moet ook altijd de keuze hebben. Stel dat een deelnemer enkel toegang heeft tot een webinar wanneer hij een hokje moet aanvinken waarin staat ‘de deelnemer gaat ermee akkoord dat het webinar wordt opgenomen’. Dat is geen keuze voor de deelnemer. In dat geval vermeld je beter duidelijk en transparant dat het webinar wordt opgenomen. De deelnemer beslist dan over de deelname en hoe dat er kan uitzien, bv. zichtbaar of niet, volledige naam of niet, enz. Misschien een subtiel verschil, maar de beslissing ligt nu duidelijk bij de eigenaar.

Je gegevensverzameling

Telkens wanneer je persoonsdata vermeldt in een bestand of op een blad papier, creëer je een soort databank. Daar moet je voorzicht mee omspringen en ervoor zorgen dat onbevoegden geen inzage hebben. Onbevoegden is een ruim begrip en betekent zoveel als al wie die gegevens niet nodig heeft om de opdracht uit te voeren. Omgekeerd mogen persoonsgegevens dus enkel zichtbaar en beschikbaar zijn voor diegenen die de gegevens daadwerkelijk nodig hebben om hun werk te kunnen doen.
Dat kan betekenen dat je je Excellijst moet aanpassen in functie van wie ze nodig heeft.
Je uitgebreide databank met persoonsgegevens zet je dus niet eventjes beschikbaar op het schoolplatform voor alle medewerkers, zodat iedereen ‘gemakshalve’ kan gebruiken wat ze nodig hebben.
Bovendien zorg je ervoor dat je digitale en werkomgeving voldoende beveiligd is zodat de eerste de beste niet zomaar inzage krijgt. Let dus op met rondslingerende mapjes, USB-sticks, standaardpaswoorden, lijstjes met paswoorden, enz.

De eigenaar van de gegevens beslist bovendien of de data in de databank mogen blijven: de eigenaar kan je vragen om zijn data te verwijderen en dan moet je dat ook doen binnen de 30 dagen (zie ook infra bij verwerkingsregister). Let wel, wanneer de eigenaar van de gegevens ook deelnemer is, dan is de eigenaar via ondertekening van het contract akkoord met het bewaren van die persoonsgegevens die worden gevraagd in het kader van de uitvoering van het project. Dat belet de eigenaar niet om te vragen dat alle andere persoonsgegevens in andere databanken, als die er zijn, worden geschrapt.

Als het project afgewerkt is, zal je dus (een deel van) je gegevensverzameling moeten bewaren, bv. voor projectcontroles. In je projectcontract met Epos staat wat je moet bewaren en voor hoelang.
Wat je niet meer nodig hebt en ook niet ter beschikking moet houden, moet je meteen definitief verwijderen, zoals mails en je eigen bestanden. Wil je je bestanden niet integraal verwijderen, dan moet je de persoonsgegevens wissen of anonimiseren om het bestand te mogen bewaren.
Eens de verplichte bewaartijd voorbij is, moeten de nog resterende persoonsgegevens ook definitief worden verwijderd. Anonimiseren kan je ook doen, door bijvoorbeeld de persoonsgegevens te vervangen door een code zodat de link met een persoon niet meer kan worden gemaakt.

Heb je de toestemming van de eigenaar om die gegevens te gebruiken?

Je mag dan wel de toestemming hebben van de eigenaar om de data te bewaren, maar heb je ook de toestemming om iets met die data te doen?

Mag je de data delen, en is er bepaald met wie?

Je weet ondertussen al dat deelnemers aan Erasmus+ projecten door ondertekening van hun overeenkomst, toestemming geven om hun data in de Europese software, waarvan DG EAC de verantwoordelijke is (cf. infra), in te voeren. Toch doe je er goed aan om je deelnemers daar nog eens expliciet op te wijzen. Zo kan een deelnemer uit kansarme groepen aanspraak maken op extra middelen, mits de deelnemer voldoet aan de criteria. Maar de deelnemer zal je dan wel de nodige gegevens moeten bezorgen om dat aan te tonen. Jij moet die immers kunnen voorleggen. Kan je dat niet, dan riskeer je dat de extra middelen worden teruggevorderd.

Wat met foto’s?

Stel, je wil je projectactiviteiten delen door foto’s te publiceren waarop collega’s duidelijk herkenbaar zijn. Je mag dat doen, mits je de toestemming hebt van de betrokken collega’s. Vermeld ook duidelijk waarvoor je de foto’s wil gebruiken. Zo kan een collega best akkoord zijn dat de foto’s gedeeld worden via een gesloten whatsapp-groepje, maar het niet ziet zitten dat die foto’s breed verspreid worden zoals via de website van het project, of de facebook van een buitenlandse partner, enz.

Die toestemming vraag je bij voorkeur schriftelijk op om discussie achteraf te vermijden.

Wie al eens geïnterviewd is door een Eposmedewerker, weet dat Epos ook altijd vooraf vraagt een document in te vullen en te ondertekenen. Daarin kan je aanduiden welke informatie, foto’s of andere gegevens mogen worden verspreid door Epos, welke format, enz. Zo kan je er voor opteren om enkel met voornaam te worden vermeld, of dat foto’s of quotes enkel in het kader van dat specifieke onderwerp mogen worden verspreid.

Beschik je over fotomateriaal waarin minderjarige kinderen herkenbaar (dus identificeerbaar) zijn, dan moet je altijd voorafgaandelijke toestemming van de ouders of de voogd hebben ongeacht waarvoor je ze wil gebruiken. Verspreid dergelijke foto’s nooit via het internet of platforms waarvan je de veiligheid niet kan inschatten: het internet vergeet nooit, maar belangrijker, de digitale gezichtsherkenning kan zeker in de toekomst ook nog voor problemen zorgen.

Maak je de kinderen onherkenbaar (dus niet-identificeerbaar) dan heb je geen toestemming nodig om foto’s te maken, te gebruiken of te verspreiden.

Over foto’s in een schoolcontext vind je op de website van de Vlaamse overheid meer informatie.

Het is gebeurd! Een datalek ven persoons-gegevens

Je laptop is gestolen, of je hebt de laptop nog steeds in je bezit, maar een hacker heeft zich ongeoorloofd toegang verschaft tot je toestel. Een datalek gaat niet altijd gepaard met een misdrijf: je kan je laptop op de trein laten liggen, of je smartphone verliezen. Dat zijn allemaal potentiële datalekken, en jij moet dan optreden.

Je bent verplicht om het datalek binnen de 72 uur te melden aan de gegevensbeschermingsautoriteit en aan de verwerkingsverantwoordelijke. Heel belangrijk hierbij is in te schatten over welke gevoelige data het gaat en wat de impact van het lek kan zijn voor de betrokkenen. In de praktijk hoef je in België een datalek niet te melden aan de gegevensbeschermingsautoriteit indien het om minder dan 100 betrokkenen gaat.

Gebruik deze link voor het melden aan de gegevensbeschermingsautoriteit.

Sowieso verwittig je alle betrokkenen wiens gegevens ongeoorloofd kunnen worden gebruikt.

Indien je zelf de verwerkingsverantwoordelijke bent, zal je ook via een officieel bericht moeten melden dat er een datalek was, bijvoorbeeld via je website. Hier vind je voorbeelden van dergelijke berichten.

Heb je dit?

Dit is van belang wanneer je een projectwebsite beheert:

• Verwerkingsregister
• Privacyverklaring op de website
• Cookiebeleid op de website
• Cookiebanner op de website

Stel dat je de vraag krijgt van een deelnemer om geschrapt te worden in alle databanken, dan zal je in het verwerkingsregister moeten vinden waar die data allemaal is opgeslagen, wie daar toegang tot heeft, en hoe je dus die data kan verwijderen. Een verwerkingsregister is een intern document dat bijhoudt hoe de persoonsgegevens in jouw organisatie worden verwerkt. Dat zou er al moeten zijn op niveau van je organisatie. Vraag is echter of jouw projectdata ook opgenomen zijn. Dat moet je even checken.

Gluur eens op andere projectwebsite, of de Eposwebsite voor meer informatie over de privacyverklaring, de cookie policy en de cookiebanner.

Heeft je website ook Engelstalige pagina’s, bijvoorbeeld voor je buitenlandse projectpartners, dan moet de privacyverklaring en het cookiebeleid ook in een Engelstalige versie beschikbaar zijn op de website.

Tot slot, “It’s a dangerous world out there”

Let op met de platformen die je gebruikt: zo heeft de Nederlandse Autoriteit Persoonsgegevens een negatief advies gegeven over het gebruik van Google op de Chromebooks in scholen, waarna Google hun software heeft aangepast zodat er minder data wordt verzameld. Het Vlaamse kenniscentrum Digisprong heeft een technische handleiding uitgewerkt voor het gebruik van de Google Workspace.

Misschien zoek je zelf ook wel eens naar mailadressen via het internet? Opgelet, het is niet omdat data beschikbaar is via het internet, zoals een persoonlijk emailadres, dat je dat zomaar aan je mailinglijst voor nieuwsbrieven mag toevoegen. Je mag natuurlijk wel een beschikbaar emailadres gebruiken voor een persoonlijke mail.

Overigens ga je best ook voorzichtig te werk bij het plukken van afbeeldingen via het internet. Dat heeft dan niets met GDPR te maken, maar kan je wel op een fikse boete komen te staan want je maakt misschien onrechtmatig gebruik van een afbeelding waarvan iemand anders eigenaar is.

Wanneer je je visitekaartje geeft aan een buitenlandse collega, dan dient dat om het persoonlijk contact tussen jullie te bewaren, maar dat is geen automatische toestemming om de wekelijkse nieuwsbrief te ontvangen.

Wees voorzichtig met eigenaardige mails of sms-en: phishing en smishing zijn nog steeds succesvolle middelen om op ongeoorloofde wijze aan data te geraken. En de mails zien er steeds professioneler uit met links naar nagemaakte websites die nauwelijks van de echte te onderscheiden zijn. Een mail of bericht zonder taalfouten is ook niet per definitie veilig.

En de whatsapp-fraude met valse berichtjes over een nieuw GSM-nummer heeft ook al de pers gehaald.

Waar mogelijk, maak gebruik van de twee-factoridentificatie: een wachtwoord alleen is dan niet genoeg om toegang te krijgen tot je bestanden en andere gevoelige informatie.

Besluit

Stel jezelf de volgende vragen:

• Welke gegevens heb ik nodig en waarom?
• Heb ik de toestemming om die gegevens
  • bij te houden?
  • door te sturen?
  • te publiceren?

Het is de eigenaar van de persoonsgegevens die beslist welke gegevens worden bewaard, en waarvoor die worden gebruikt.

Wie als verwerker of verantwoordelijke zich daar niet aan houdt, schendt de rechten van de eigenaar en gaat in tegen de GDPR-regelgeving.

Heb je een website voor je project? Zorg dan voor een privacy- en cookieverklaring, en een cookiebanner. Zorg daarenboven voor een voldoende beveiligde omgeving voor je databanken, zodat hackers of toevallige vinders niet zomaar toegang hebben tot je data.

* GDPR staat voor General Data Protection Regulation. In het Nederlands is dit AVG of Algemene Verordening Gegevensbescherming.